第08章 网络设备管理和流量管理.ppt

1、使用CDP协议管理CISCO设备，使用TELNET远程管理设备。 用ACL控制网络流量管理。 第八章网络设备管理和流量管理，8.1网络设备管理，案例：一家公司想利用Telnet远程登录邻近的路由器和交换机，并对其进行配置和管理。 同时，用上述方法逐步绘制网络整体拓扑图。8.1.1 cdp、cisco发现协议(cdp、ciscodiscoveryprotocol )提供Cisco网络设备之间的联系方法，通过CDP提供相邻设备的主机名、IP地址、MAC地址另外，如果在180秒内没有接收到CDP消息，则从缓存中删除CDP条目。 CDP消息仅通过VLAN1传输，交换机所连接的邻居设备的接口必须是VLA

2、N1的成员。1、CDP概述、图8-1、CDP消息传递、2、CDP配置和初始配置的Cisco设备在默认情况下启用CDP协议功能。 在全局配置模式下设置CDP启用或禁用图8-2cdp！ 在串行0/0接口上启用CDP协议。 在Fastethernet 0/0接口上，禁用CDP协议，第三，显示CDP信息，以及显示CDP邻居信息的摘要。 showcdpneighborsfastethernet0/1显示连接到设备接口fastethernet0/1的邻近设备的信息。 show CDP neighbors详细信息显示相邻设备的详细信息。 show CDP接口显示本地设备上每个接口的状态、接口封装格式、CDP

3、包的循环发送时间和CDP保留时间。 显示CDP条目显示有关指定邻近设备的信息。 show CDP条目路由器等用于显示有关相邻路由器的信息。 使用show cdp entry *显示所有相邻设备信息，就像显示show CDP neighbors详细信息输出一样。 showcdptraffic :关于cdp的业务统一校正信息(收发cdp数据包的数量、报头检查、检查错误、包错误等错误数)、4、cdp部署、 cdp run命令no cdp run命令show cdp命令cdp timer 100命令cdp holdtime 200命令Show cdp neighbor命令和8.1.2管理Telnet会

4、话可以使用CDP协议来访问当前路由器在发现交换机的外围设备的信息之后，还能够通过上述方法逐步产生整个网络的拓扑图。 图8-1-12 CDP角色，1telnet会话管理调用使用交换机远程登录到RouterA的过程：图8-1-13远程登录，telnet:使用交换机中的主机名远程登录到RouterA show sessions显示从当前设备发出的所有调用Telnet会话。 enter键Disconnect :断开本地和目标主机的Telnet连接。 Resume Telnet连接号或连接名指定返回telnet会话的过程。2传入Telnet会话管理、show users :显示远程Telnet传入主交换

5、机或路由器的状况。 clear line :切断从远程Telnet到本交换机或路由器的来电。8.2流量管理： acl访问控制列表，情况：一家公司希望允许或拒绝从互联网访问内部Web服务器，或者希望内部LAN上的一个或多个工作站能够将数据流发送到广域网。 这些情况和其他功能可以通过访问表来达到目的。现场示例、网络结构图：图8-3、ACL方案串联网络拓扑、一、现场示例(续1 )、网络结构说明：路由器具有两个以太网接口E0和E1，并分别与202.111.170.0相连接问题1 :假设在服务器WEB2(IP: 202.222.100.100 )上放置了新年贺岁版的企业主页，在2007年12月31日24

6、:00之前，互联网用户想访问的是服务器WEB2。在之后的新年里q2:192.168.1.0只允许主机过程登录到网络中的路由器，一是现场样本(续2 )，一是在Telnet使用的虚拟端口上设置ACL，并创建标准ACL， 只有希望的主机才允许登录路由器使用CISCO路由器的基于时间的访问列表：可以通过一天的不同时间，或者通过一周的不同日期，当然两者的组合可以控制网络分组的传送。 二、处理思路、三、预备知识、1 .访问控制列表的概念2 .访问控制列表的分类3 .访问控制列表的命令4 .访问控制列表的执行过程5 .访问控制列表的配置、172.16为什么要使用访问控制列表1 .访问控制列表概念访问控制列表

7、(ACL )是用于路由器接口控制端口输入/输出分组的命令列表。 访问列表(access-list )是一系列授权和拒绝条件的集合，过滤通过访问列表发送和接收的分组的请求，并实现路由器和网络的安全控制。 路径选择器可以逐个地检测分组和接入列表中的条件，并且在满足初始匹配条件之后确定路径选择器是否接收到该分组。 访问控制列表(ACL )。 当外部包进入或离开路由器所在的端口时，路由器首先检查包是否可以转发。 此端口定义了数据包过滤规则；否则，数据包将通过路由器。 包过滤规则称为访问列表。 因为ACL对流入、流出路由器数据包进行过滤，所以也被称为分组过滤器。 他通过在数据包流入路由器或从路由器流出时

8、进行检查、过滤，达到了通信管理的目的。 外联网是进入企业网络的第一级，路由器上的访问控制列表成为保护内联网安全的有效手段。访问控制列表概述、2、ACL应用、虚拟会话(IP )、端口上的数据转发、授权、拒绝包如果没有访问列表来通过路由器授权、拒绝建立Telnet会话，则所有的包都将通过网络转发访问控制列表的3.ACL分类ACL根据两种类型： (1)标准访问列表(2)扩展访问列表、标准、扩展和源地址，根据源地址和目的地址，授权并拒绝完整的TCP/IP协议指定IP的特定协议和端口号的标准检验源地址通常许可，拒绝的是完整的协议扩展检验源地址和目标地址通常许可，拒绝的是特定的协议，Outgoing Pa

9、cket、E0、S0、Incoming Packet、 Access List Processes、Protocol、访问控制列表的执行过程、4、ACL的执行过程的哪个端口执行哪个ACL，需要按照列表中的条件语句的执行顺序来判断。 如果一个数据包的标头与表中的条件判定语句匹配，则忽略后续语句，不再进行检查。 数据包仅在与第一个判定条件不一致时，才传递给ACL的下一个条件判定语句进行比较。 如果匹配(假设允许发送)，则无论是第一个语句还是最后一个语句，数据都会立即发送到目标接口。 如果检测到所有ACL判定语句，并且没有匹配的语句出口，则认为该数据包被拒绝并丢弃。此外，在访问控制列表的可能值范围、

10、5、ACL的可能值范围-路由器部署中，标准ACL和扩展ACL的差异用ACL的表号来表示，下表指示在各个协议上允许的合法表号的可能值范围。通过将访问控制列表可能的值的范围、访问控制列表正确放置、正确放置ACL ACL、过滤分组以及丢弃不希望到达目的地的分组来控制通信量。 但是，网络管理员能否有效地减少不需要的通信量取决于他们将ACL放在哪里。 1 )标准ACL尽可能接近目的地。 2 )扩展ACL应尽可能接近源。 访问列表配置指南访问列表的编号显示了使用哪些协议的访问列表的每个端口、每个方向和每个协议只能支持一个访问列表访问列表的内容。 对数据的控制顺序有严格限制的语句，应该放在访问列表中所有语句

11、的最上面。 访问列表的末尾有隐式声明，然后应用于端口的访问列表不能过滤路由器自身生成的数据。 标准访问控制列表、标准访问控制列表只允许使用源地址描述数据，或者部署标准访问控制列表、部署标准访问控制列表的命令格式如下： access-listlistnumberpermit|d anysourceaddresswildcard -掩码日志(1) lis klog (2) permit/deny-允许或拒绝，permit表示消息可以通过接口，deny表示标准IP访问表的源代码(3)源地址- -源地址、标准的IP访问表的源地址为主机的点十进制表示，例如为：192.168.6.18。 (4)主机/an

12、y-主机匹配，主机和any分别用于指定单一主机和所有主机。 host表示精确匹配，掩码为0.0.0.0。 使用access-list1permit 192.168.6.180.0.0主机时，可以使用以下语句代替： access-list1permit主机192.168 : (6)Log访问列表记录。 如何使用反掩码，反掩码和子网掩码相似，但写法不同： 0表示需要比较，表示忽略比较反掩码和IP地址的组合来使用，能够记述地址范围。 如何使用IP地址和反掩码wildcard-mask来表示网段？ 建立标准访问控制列表以禁止来自外部网络的数据流通过(该内部主机允许访问外部网络)，例题：禁止来自一个主机

13、的数据流通过(主机172.16.4.13接入网172.16 ) 放置标准访问控制列表的标准ACL语句示例：允许在172.168.2.0网络上进行主行访问： switch # access-list1permit 172.168.2.0.0.0.255示例2 : 接入列表2 deny 172.166.0.0.0.255.255示例3 :允许所有IP访问：交换机#接入列表1权限0.0。 访问列表3 deny 172.168.2.68.0.0.0、实例和实例1 :拒绝具有特定主地址为172.168.2.5的业务能够通过E0访问172.162。 (拓扑图如图8-4所示，具体的构成命令如下。 路由(配置) #接入列表2从属主机172.168.1.0路由(配置) #接入列表2端口0路由(配置) # IP接入(拓扑图如图8-4所示，具体的构成命令如下。 路由器(配置) #接入列表1权限172.168.1.0.0.255路由器(配置) #接口、路由器、扩展访问控制列表，扩展的IP访问表检查包的源地址和目标地址，并检查包的特定协议类型、端口号等。 扩展访问控制列表具有更大的灵活性和可扩展性，允许使用特定协议通过同一地址的通信，而拒绝使用其他协议的通信，从而灵活地修改ACL